Fortinet SSL-VPN 접속 후 인터넷이 안 된다면, 단순 장애가 아닐 수 있습니다
⚡Fortinet SSL-VPN을 사용하는 기업 환경에서 아래와 같은 문의는 생각보다 자주 발생합니다.
“VPN은 정상적으로 연결되는데, VPN에 접속한 PC에서는 인터넷이 전혀 되지 않습니다.” |
|---|
처음에는 단순 네트워크 오류처럼 보이지만,
실제 현장에서는 VPN 설정 변경 · 관리자 계정 보안 · 라이선스 만료가 동시에 얽혀 있는 경우가 많습니다.
최근 실제 대응 사례를 바탕으로, 이 문제를 처음부터 차근히 정리해보겠습니다.
1️⃣ 무엇이 문제였을까?
고객이 겪은 증상은 다음과 같습니다.
FortiClient를 통해 SSL-VPN 접속은 정상
VPN 연결 상태에서 외부 인터넷 접속 불가
전일까지는 VPN + 인터넷 모두 정상
특정 시점(금일 오전) 이후 동일 현상 발생
클라이언트·회선 문제라기보다는 설정 또는 정책 변화 가능성이 높은 상황이었습니다.
2️⃣ 직접적인 원인: SSL-VPN Split Tunneling 설정 변경
Fortinet SSL-VPN에는 트래픽을 처리하는 방식이 크게 나뉩니다.
SSL-VPN Split Tunneling 주요 옵션
Disabled → 모든 트래픽(사내망 + 인터넷)을 VPN 터널로 전달
Enabled for Trusted Destinations
Enabled Based on Policy Destination
문제가 발생한 환경에서는
기존과 달리 Split Tunneling이 정책 기반(Enabled Based on Policy Destination)으로 설정되어 있었고,
그 과정에서 인터넷 트래픽을 허용하는 방화벽 정책이 존재하지 않았습니다.
그 결과, VPN 접속 / 사내망 접근 / 외부 인터넷 이라는 현상이 발생했습니다.
이 단계까지만 보면 설정 실수로 보일 수 있습니다.
하지만 여기서 끝이 아니었습니다.
① 관리자 계정 설정 변경 이력
설정 변경 로그를 확인하던 중,
다음과 같은 시스템 관리자 계정 기반 설정 변경 기록이 확인되었습니다.
SSL-VPN Portal 수정
방화벽 정책 수정
시스템 관리자 설정 변경
문제는 누가, 어디서 이 설정을 변경했느냐였습니다.
② 해외 IP 기반 관리자 접근 흔적
로그 분석 결과,
관리자 계정으로 국내가 아닌 해외 IP에서 접근한 정황이 확인되었습니다.
이 시점에서 단순 설정 오류 가능성은 급격히 낮아지고,
관리자 계정 탈취 또는 비정상 접근 가능성을 함께 고려해야 하는 상황이 됩니다.
③ Trusted Hosts 설정 전체 허용
추가 확인 결과,
해당 관리자 계정의 Trusted Hosts(관리자 접근 허용 IP) 설정이
All Open 상태로 열려 있었습니다.
이 설정은 다음과 같은 치명적인 리스크를 갖습니다.
관리자 ID/비밀번호만 유출되면 전 세계 어디서든 Fortigate 관리자 페이지 접근 가능하고
VPN·방화벽·보안 정책이 외부에서 변경될 수 있습니다.
실제 Fortinet 장비 보안 사고 상당수가
Trusted Hosts 미설정 상태에서 발생합니다.
3️⃣ 장기간 라이선스 만료 상태
장비 상태를 확인한 결과, 보안 라이선스가 장기간 만료된 상태였습니다.
확인된 라이선스 상태는 다음과 같습니다.
Firmware & General Updates : Expired
IPS : Unlicensed
AntiVirus : Unlicensed
Web Filtering : Unlicensed
만료 시점 : 2023년
현재 운영 시점 : 2026년
이 지점에서 고객은 아래와 같이 질문합니다.
라이선스가 만료되면 VPN이 안 되는 건가요?” |
|---|
결론부터 말하면
라이선스가 만료되어도 SSL-VPN 연결 자체는 동작할 수 있습니다.
하지만 문제는 그 다음입니다.
라이선스 만료 상태에서는 다음이 불가능합니다.
최신 보안 취약점 패치 적용
IPS / AV / Web Filtering 시그니처 업데이트
관리자 계정·VPN 관련 CVE 대응
이번 장애는 라이선스 만료 때문에 VPN이 끊긴 것이 아니라
라이선스 만료 상태에서 보안 사고 가능성이 커졌고,그 결과 설정 변경 → VPN 장애로 이어졌을 가능성이 훨씬 합리적인 해석입니다.
4️⃣ 어떻게 해결해야 할까?
이번 사례에서는 단순히 VPN 접속 문제만 복구하는 방식으로 접근하지 않았습니다.
장애 복구와 보안 리스크 제거를 분리해서 단계적으로 조치했습니다.
① 즉각적인 장애 복구 조치
SSL-VPN Split Tunneling 설정 재검토
인터넷 트래픽을 허용하는 방화벽 정책 추가
VPN 접속 후 인터넷 통신 정상화 확인
② 관리자 계정 보안 조치
관리자 계정 비밀번호 전면 변경
사용하지 않는 관리자 계정 비활성화
Trusted Hosts를 사내 고정 IP만 허용하도록 제한
③ 보안 사고 가능성 점검
관리자 설정 변경 로그 전수 검토
해외 IP 기반 접근 시도 이력 확인
추가적인 비정상 정책 변경 여부 점검
④ 라이선스 상태 정상화 및 운영 기준 재정비
만료된 Fortigate 보안 라이선스 갱신 검토
Firmware / IPS / AV / Web Filtering 업데이트 계획 수립
향후 라이선스 만료 사전 알림 및 관리 기준 정립
5️⃣이번 사례에서 가장 중요한 포인트
|
|---|
6️⃣ 위험한 조합 체크
현업 기준에서 아래 조합은 명확한 경고 신호 입니다
VPN 접속 후 인터넷 불가
관리자 설정 변경 이력 존재
해외 IP 기반 관리자 접근 흔적
Trusted Hosts 전체 허용
주요 보안 라이선스 장기 만료
이 경우, 단순 장애 복구로 끝내면 안 되고 보안 사고 전제 점검이 필수입니다.
7️⃣ Fortinet SSL-VPN 운영 시 반드시 점검해야 할 체크리스트
✔ 관리자 계정 보안 | ✔ SSL-VPN 정책 | ✔ 라이선스 상태 | ✔ 로그 모니터링 |
|---|---|---|---|
Trusted Hosts 필수 IP만 허용 | Split Tunneling 방식 명확히 정의 | Firmware / IPS / AV / Web Filtering 만료 여부 확인 | system.admin / vpn / firewall 변경 로그 상시 확인 |
불필요한 관리자 계정 제거 | 인터넷 트래픽 허용 정책 존재 여부 확인 | 최소 연 1회 이상 갱신 여부 점검 | 비정상 시간대·국가 접근 탐지 |
관리자 비밀번호 주기적 변경 | 정책 변경 이력 주기적 점검 |
VPN 장애는 단순 네트워크 문제가 아닐 수 있습니다.
특히 갑작스럽게 설정이 바뀌고, 인터넷이 차단되고, 로그에 이상 흔적이 보인다면
이는 곧 보안 운영 전반을 점검해야 한다는 신호입니다.
